hallo zusammen!
ich habe gestern abend trillian astra installieren wollen. zum glück hatte ich während der installation den virenscanner (norton internet security 2009) an, denn während dem setup kam auf einmal folgende meldung (s. anhang).

komischerweise war keine virusdefinition angegeben, nur diese nichtssagende server.exe. daraufhin habe ich die setup des messengers bei virustotal.com hochgeladen mit folgendem ergebnis:

AhnLab-V3 5.0.0.2 2009.09.18 Win-Trojan/Xema.variant
Jiangmin 11.0.800 2009.09.18 Backdoor/Bifrose.pzs
Microsoft 1.5005 2009.09.18 VirTool:Win32/Injector.gen!AC

wie sind die viren/malware einzuschätzen?

muss ich mir jetzt gedanken machen, dass noch irgendwo etwas von den viren rumspukt bzw. reste übrig geblieben sind, auch wenn norton gleich alarm geschlagen hat und das problem gelöst, den virus entfernt hat?

der hauseigene virenscan findet zumindest nichts, ebenso wie malwarebytes!

im folgenden schiebe ich mal noch mein HijackThis log nach:

Code: Alles auswählenAufklappen

ATTFilter

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:03:27, on 18.09.2009
Platform: Unknown Windows (WinNT 6.01.3504)
MSIE: Internet Explorer v8.00 (8.00.7600.16385)
Boot mode: Normal

Running processes:
C:\Program Files (x86)\IObit\Advanced SystemCare 3\AWC.exe
C:\Program Files (x86)\Norton Internet Security\Engine\16.7.2.11\ccSvcHst.exe
C:\Program Files (x86)\Windows Sidebar\sidebar.exe
C:\Program Files (x86)\Elaborate Bytes\VirtualCloneDrive\VCDDaemon.exe
C:\Program Files (x86)\Winamp\winampa.exe
C:\Program Files (x86)\Adobe\Acrobat 9.0\Acrobat\acrotray.exe
C:\Program Files (x86)\Java\jre6\bin\jusched.exe
C:\Program Files (x86)\Corel\Corel Paint Shop Pro Photo X2\CorelIOMonitor.exe
C:\Program Files (x86)\Winamp\winamp.exe
C:\Program Files (x86)\Last.fm\LastFM.exe
C:\Program Files (x86)\Mozilla Firefox\firefox.exe
C:\Program Files (x86)\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\Windows\SysWOW64\blank.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = 
O2 - BHO: ContributeBHO Class - {074C1DC5-9320-4A9A-947D-C042949C6216} - C:\Program Files (x86)\Adobe\/Adobe Contribute CS4/contributeieplugin.dll
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files (x86)\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Symantec NCO BHO - {602ADB0E-4AFF-4217-8AA1-95DAC4DFA408} - C:\Program Files (x86)\Norton Internet Security\Engine\16.7.2.11\coIEPlg.dll
O2 - BHO: Symantec Intrusion Prevention - {6D53EC84-6AAE-4787-AEEE-F4628F01010C} - C:\Program Files (x86)\Norton Internet Security\Engine\16.7.2.11\IPSBHO.DLL
O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Program Files (x86)\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files (x86)\Java\jre6\bin\jp2ssv.dll
O2 - BHO: SmartSelect - {F4971EE7-DAA0-4053-9964-665D8EE6A077} - C:\Program Files (x86)\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll
O3 - Toolbar: Norton Toolbar - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - C:\Program Files (x86)\Norton Internet Security\Engine\16.7.2.11\coIEPlg.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files (x86)\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll
O3 - Toolbar: Contribute Toolbar - {517BDDE4-E3A7-4570-B21E-2B52B6139FC7} - C:\Program Files (x86)\Adobe\/Adobe Contribute CS4/contributeieplugin.dll
O4 - HKLM\..\Run: [StartCCC] "C:\Program Files (x86)\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun
O4 - HKLM\..\Run: [VirtualCloneDrive] "C:\Program Files (x86)\Elaborate Bytes\VirtualCloneDrive\VCDDaemon.exe" /s
O4 - HKLM\..\Run: [WinampAgent] "C:\Program Files (x86)\Winamp\winampa.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files (x86)\Java\jre6\bin\jusched.exe"
O4 - HKCU\..\Run: [Sidebar] C:\Program Files (x86)\Windows Sidebar\sidebar.exe /autoRun
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-20\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'NETZWERKDIENST')
O8 - Extra context menu item: An vorhandenes PDF anfügen - res://C:\Program Files (x86)\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: In Adobe PDF konvertieren - res://C:\Program Files (x86)\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~2\MICROS~1\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://C:\Program Files (x86)\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://C:\Program Files (x86)\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~2\MICROS~1\Office12\REFIEBAR.DLL
O13 - Gopher Prefix: 
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - https://fpdownload.macromedia.com/get/flashplayer/current/swflash.cab
O18 - Protocol: symres - {AA1061FE-6C41-421F-9344-69640C9732AB} - C:\Program Files (x86)\Norton Internet Security\Engine\16.7.2.11\coIEPlg.dll
O23 - Service: Adobe Version Cue CS4 - Adobe Systems Incorporated - C:\Program Files (x86)\Common Files\Adobe\Adobe Version Cue CS4\Server\bin\VersionCueCS4.exe
O23 - Service: @%SystemRoot%\system32\Alg.exe,-112 (ALG) - Unknown owner - C:\Windows\System32\alg.exe (file missing)
O23 - Service: AMD External Events Utility - Unknown owner - C:\Windows\system32\atiesrxx.exe (file missing)
O23 - Service: @%SystemRoot%\system32\efssvc.dll,-100 (EFS) - Unknown owner - C:\Windows\System32\lsass.exe (file missing)
O23 - Service: @%systemroot%\system32\fxsresm.dll,-118 (Fax) - Unknown owner - C:\Windows\system32\fxssvc.exe (file missing)
O23 - Service: FLEXnet Licensing Service - Acresso Software Inc. - C:\Program Files (x86)\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: FLEXnet Licensing Service 64 - Acresso Software Inc. - C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService64.exe
O23 - Service: @keyiso.dll,-100 (KeyIso) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: MBAMService - Malwarebytes Corporation - C:\Program Files (x86)\Malwarebytes' Anti-Malware\mbamservice.exe
O23 - Service: @comres.dll,-2797 (MSDTC) - Unknown owner - C:\Windows\System32\msdtc.exe (file missing)
O23 - Service: Nero BackItUp Scheduler 4.0 - Nero AG - C:\Program Files (x86)\Common Files\Nero\Nero BackItUp 4\NBService.exe
O23 - Service: Norton Internet Security - Symantec Corporation - C:\Program Files (x86)\Norton Internet Security\Engine\16.7.2.11\ccSvcHst.exe
O23 - Service: @%systemroot%\system32\psbase.dll,-300 (ProtectedStorage) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: Protexis Licensing V2 (PSI_SVC_2) - Protexis Inc. - C:\Program Files (x86)\Common Files\Protexis\License Service\PsiService_2.exe
O23 - Service: @%systemroot%\system32\Locator.exe,-2 (RpcLocator) - Unknown owner - C:\Windows\system32\locator.exe (file missing)
O23 - Service: @%SystemRoot%\system32\samsrv.dll,-1 (SamSs) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%systemroot%\system32\spoolsv.exe,-1 (Spooler) - Unknown owner - C:\Windows\System32\spoolsv.exe (file missing)
O23 - Service: @%SystemRoot%\system32\sppsvc.exe,-101 (sppsvc) - Unknown owner - C:\Windows\system32\sppsvc.exe (file missing)
O23 - Service: Steam Client Service - Valve Corporation - C:\Program Files (x86)\Common Files\Steam\SteamService.exe
O23 - Service: @%SystemRoot%\system32\ui0detect.exe,-101 (UI0Detect) - Unknown owner - C:\Windows\system32\UI0Detect.exe (file missing)
O23 - Service: @%SystemRoot%\system32\vaultsvc.dll,-1003 (VaultSvc) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%SystemRoot%\system32\vds.exe,-100 (vds) - Unknown owner - C:\Windows\System32\vds.exe (file missing)
O23 - Service: @%systemroot%\system32\vssvc.exe,-102 (VSS) - Unknown owner - C:\Windows\system32\vssvc.exe (file missing)
O23 - Service: @%systemroot%\system32\wbengine.exe,-104 (wbengine) - Unknown owner - C:\Windows\system32\wbengine.exe (file missing)
O23 - Service: @%Systemroot%\system32\wbem\wmiapsrv.exe,-110 (wmiApSrv) - Unknown owner - C:\Windows\system32\wbem\WmiApSrv.exe (file missing)
O23 - Service: @%PROGRAMFILES%\Windows Media Player\wmpnetwk.exe,-101 (WMPNetworkSvc) - Unknown owner - C:\Program Files (x86)\Windows Media Player\wmpnetwk.exe (file missing)

--
End of file - 9064 bytes
         

das system (windows 7) ist frisch, deswegen würde mich interessieren ob ichs gleich wieder neu aufsetzen/formatieren sollte :/

und jetzt kümmer ich mich mal um den "kumpel", der mir diese trillian version geschickt hat..


danke euch schonmal!!!

flo

Hallo a6l

Zitat:

Jiangmin 11.0.800 2009.09.18 Backdoor/Bifrose.pzs

Allein deswegen würde ich sagen daß wohl Neuaufsetzen des Systems die bessere Methode wäre gerade weil du ja auch sagst daß das System frisch installiert wurde. Und deinem "Kumpel" solltest du wirklich mal kräftig auf die Finger hauen.

Ich habe gerade mal testweise von cnet die aktuelle Trillian Version runtergeladen und mit PrevX, Antivir und Virustotal gecheckt. Kein Ergebnis. Einen Fehlalarm können wir dadurch ausschließen.

Generell solltest du immer vorsichtig sein bei Dateien die dir jemand schickt gerade wenn es ausführbare Dateien sind.

Gruß

Acid

danke für deine antwort!

Zitat:

Jiangmin 11.0.800 2009.09.18 Backdoor/Bifrose.pzs

finde nirgends eine erklärung zu dem teil - was hat der so, was die anderen nicht haben?


kann da trotzdem noch was sein, obwohl das system clean zu sein scheint?

Zitat:

Zitat von a6l

danke für deine antwort!



finde nirgends eine erklärung zu dem teil - was hat der so, was die anderen nicht haben?


kann da trotzdem noch was sein, obwohl das system clean zu sein scheint?

Er hat die Eigenschaft, als Backdoor markiert zu sein - d.h. er erleichtert / ermöglicht es anderen Personen, Kontrolle über deinen Rechner zu übernehmen. Somit sind auch Passwörter etc. nicht mehr sicher. Im wirklich schlimmsten Falle kann durch so einen Backdoor jemand fast kompletten Zugriff auf deinen Rechner haben und allerlei Sachen damit anstellen...

Meines wissens nach müsste das Bifrost sein. Eine Erklärung findest du hier (englisch): Bifrost (trojan horse) - Wikipedia, the free encyclopedia

Gruß

Acid

also ihr empfehlt mir alle neu aufzusetzen obwohl norton ihn gefunden und gelöscht hat und ansonsten auch nichts mehr zu finden ist?

Windows 7 Merkwürdig! Trillian-Setup verseucht - HijackThis.de Support Board

Crossposting!

Bitte entscheide dich für EIN Board. Welches willst Du wählen?

Da bei Crossposting die Komplikation besteht das zwei unabhängige Helfer Nicht voneinander wissen, wie sie handeln, würde ich Dich bitten darum ein einziges Board auszuwählen.

Zwei verschiedene unabhängige Helfer bedetet: Zwei verschiedene Lösungswege. Dies hat zur Bedeutung, dass die Lösungen unterschiedlich sind, aber die zwei helfer irgendwann irritiert sind, was an deinem PC gemacht wird. Da es irgendwann auffällt, dass da noch eine "zweite andere Hand" dabei ist.

Welches möchtest Du wählen?

also ich verstehe den aufstand hier wirklich nicht.

1. bin ich hier immer noch der ausführende, der sich nur tips einholt, und nicht gerade der größte pc-anfänger. folglich steht es mir wohl zu..
2. mehrere meinungen einzuholen, was dieses thema angeht, zumal wir weit davon entfernt sind, irgendwelche aktionen durchzuführen, die mit irgendeinem anderen "helfer" kollidieren könnten.

soll ich mich jetzt wirklich für ein forum entscheiden? :

das hjt forum hat ja wohl die gleiche daseinsberechtigung wie dieses hier und falls ihr wirklich so eng kooperieren solltet, warum legt ihr die beiden foren nicht zusammen - ansonsten seh ich keinen sinn!?

was das thema freiwillige helfer angeht: jeder schreibt doch hier freiwillig rein oder? sprich wenn er denkt, er hat einen guten tip, dann gibt er den weiter, unabhängig davon ob mir jemand anderes schon einen tip gegeben hat oder nicht. die motivation ist ja wohl hierdurch nicht beeinträchtigt. außerdem: keiner hat hier den anspruch monopolhalter in sachen hilfestellung zu sein oder?

wieder nicht falsch verstehen, ich will hier keinen angehen und finds ganz toll dass ihr euch aus gutem willen hier engagiert, aber ich finde ihr nehmt das thema etwas zu ernst.

falls hier jemand ein problem haben sollte, dass ich fremdgegangen bin dann soll er nicht in meinem thread posten - wie gesagt freiwillig.

und falls es gar nicht geht, sag ich den leuten von hjt sie sollen meinen thread sofort löschen!

flo

hjt thread is closed! für alle die sich deswegen zurückgehalten haben

Hallo,

zudem würde ich dein PC Neuaufsetzen an Deiner Stelle. Denn du hast/hattest Backdoor Bifrost. Hiermit kann man Keyloggen, Passwörter ausspähen und noch andere fiese sehr fiese Dinge tun.

Backdoor: Backdoor ? Wikipedia

Remote Administration Tool: Remote Administration Tool ? Wikipedia

Um wirklich sicher zu gehen, dass auch kein Rest übrig bleibt würde ich dein System Neuaufsetzen, dass so schnell wie möglich und such dir sofort einen SAUBEREN PC und Ändere dringenst und schnellstens deine Passwörter und alle anderen Zugangsdaten zu E-Mail, Online Banking, ICQ etc ab.

Mit dem Teil ist NICHT zu Spaßen, keineswegs!

Zitat:

Zitat von a6l

hjt thread is closed! für alle die sich deswegen zurückgehalten haben

sehr gut, ich habe dann einen weiteren Topic von Dir.

Merkwürdig! Trillian-Setup verseucht - Virus Hilfe

mein norton würde doch aber alarm schlagen, wenn ein programm diesen fremdzugriff herstellen würde oder?

außerdem habe ich mir sagen lassen, dass 3 von 47 funde bei virustotal.com zu vernachlässigen sind ?

http://www.virustotal.com/de/analisis/e2c1ad39bfedb8da2e3f8cacbb57e2786b042c7473ceadb831779a4da91185bb-1253280073

Zitat:

mein norton würde doch aber alarm schlagen, wenn ein programm diesen fremdzugriff herstellen würde oder?

Dein Norten würde dies tun, wenn es 1. den Schädling erkennt 2. die Datei nicht als Rootkit kommt.
Bei dir ist ersteres der Fall, da es wohl nicht angeschlagen hatte. Tja AVP's bieten nunmal nur einen begrenzten Schutz gegen Schädlinge.

Und nun setz neu auf, oder hast du immer noch nicht verstanden, was los ist? Es geht um deine Privatsphäre und Deine Daten!

is ja gut bin gerade dabei meine files zu backuppen.

aber: norton hat sofort bei der installation angeschlagen und den schädling gelöscht - wie kommst du darauf, dass es nicht angeschlagen hat?

und hier nochmal der link zum virustotal-ergebnis!

7 % viruswahrscheinlichkeit - ist das wirklich relevant? würde mich jetzt noch interessieren..

Zitat:

aber: norton hat sofort bei der installation angeschlagen und den schädling gelöscht

Setz trotzdem lieber neu auf, sicher ist sicher, siehe die Links zu Wikipedia

3 AVPs aha, woher hast du die Exe, bitte gib mir mal den Link dazu, zu der Exe Datei per PN (Privater Nachricht).